Rollen im Umfeld des Datenschutzes Umgang mit personenbezogenen Daten speichernde Stelle Kontrollinstanzen Vertrag, Gesetz Be- trof- fener Betriebs- rat Beteiligung betriebl. DB Schulung/ Kontrolle Kon- trolle BfD/ LfD Bearbeiter beauftragen Auftrags- bearbeiter verwenden Em- pfän- ger übermitteln Daten Dritte mitteilen Träger von (Zusatz-) wissen

Grundregel - Zulässigkeit der Datenverarbeitung Verarbeitung und Nutzung ist nur zulässig, wenn • der Betroffene einwilligt • oder eine ausdrückliche gesetzliche Erlaubnis vorliegt Einwilligung bedarf der Schriftform Es ist hinzuweisen auf: • Zweck der Speicherung, ggf. der Übermittlung auf Folgen der Verweigerung (bei Verlangen)

Zulässigkeit auf gesetzlicher Basis - im öffentlichen Bereich Erhebung zulässig wenn: die Kenntnis der Daten zur Erfüllung der Aufgabe erforderlich ist. Daten sind beim Betroffenen zu erheben. Hinweis auf Rechtsgrundlage, zu erzielende Rechtsvorteile oder Freiwilligkeit. Speichern, Verändern, Nutzen nur zulässig wenn es zur Erfüllung ... der Aufgaben erforderlich ist UND nur für die ursprünglichen Zwecke der Erhebung oder Speicherung.

Erforderlichkeit: I Erforderlichkeit ist dann gegeben, wenn ohne die Daten die Aufgabe gar nicht oder zumindest nicht vollständig erfüllt werden kann (als conditio sine qua non). II Erforderlichkeit ist schon dann gegeben, wenn Daten zur Erreichung des Zwecks objektiv geeignet sind und im Verhältnis zum Zweck auch angemessen erscheinen (Dies schließt auf jeden Fall eine Vorratsspeicherung oder die Speicherung von Hintergrundinformationen aus).

Durchbrechung der Zweckbindung nach BDSG §14(2) im Inte- resse von B Betroffener Verarbeitung für ursprünglich nicht vorgesehene Zwecke öffentl. speichernde Stelle Überprü- fung der Angaben von B Abwehr von Nach- teilen für Gemein- wohl oder Dritte Straf- verfol- gung Daten aus öffentlichen Quellen oder für Forschung Grundregel erfüllt Daten

Zulässigkeit im nicht - öffentlichen Bereich §28 u. 29

V zur Wahrnehmung berech- tigter Interessen der spS kein Grund zur An- trof- fener Gegeninteresse speichernde Stelle Interesse Verarbeiten GI > I V zur Wahrnehmung berech- tigter Interessen der spS kein Grund zur An- nahme v für eigene Zwecke nach §28 übermitteln nutzen I>GI erheblich und nicht anders möglich Wiss- Forschung öffentlich zugäng- lich §28 (1) 3 nicht offen-sicht-lich V im vertraglichen Rahmen Geschäftliches v §29 kein Grund GI anzunehmen übermitteln glaubhaftes Empfänger I Listen § 28 (2) 1b, § 29 (2) 1b für Werbung+ pers.- bez. Daten

v für eigene Zwecke nach §28 übermitteln nutzen Dritte Öffent- lichkeit Em-pfän-ger Be- trof- fener speichernde Stelle Interesse Wissen- schaft I I Verarbeiten v für eigene Zwecke nach §28 übermitteln nutzen ü für Werbung + Kein Wider-spruch V zur Wahrnehmung berech- tigter Interessen der spS V zur Wahrnehmung berechtigter Interessen V nach §28 I>GI erheblich und nicht anders möglich Wiss- Forschung kein Grund GI anzunehmen Wiss. Forschung I>GI erheblich und nicht anders möglich V im vertraglichen Rahmen kein Grund GI anzu- nehmen V für Zweck der Übermittlung Geschäftliches v §29 kein Grund GI anzunehmen übermitteln glaubhaftes Empfänger I für Werbung+ pers.- bez. Daten öffentlich zugäng- lich §28 (1) 3 Listen § 28 (2) 1b, § 29 (2) 1b sensible Daten

Rechte der Betroffenen (1) (T/E, Teil IV, Kap. 6) Allgemeiner Teil: §6 (1) unabdingbares Recht auf Auskunft, Berichtigung, Löschung, Sperrung (nicht wie früher üblich durch bspw. Arbeitsvertrag ausschließbar)  Kernstück des Datenschutzes!

Rechte der Betroffenen (2) Speichernde Stelle Benachrichtigen Betroffener Auskunft verlangen Reaktion Berichtigen, Löschen, Sperren, Schaden ersetzen Stellungnahme Beweis fordern Anspruch anmelden, Widerspruch Auskunft erteilen Daten

Rechte der Betroffenen (3) Benachrichtigungen der Betroffenen bei nicht-öffentl. Stellen §33(1) Bei der erstmaligen Speicherung ist der Betroffene davon in Kenntnis zu setzen; bei der Speicherung zur geschäftsmäßigen Übermittlung, vor der ersten Übermittlung. Dabei hat eine genaue Angabe über speichernde Stelle und die Art der gespeicherten/ übermittelten Daten zu erfolgen. (Wir haben über Sie Namen, Adresse, Tätigkeit, Bankverbindung und die sonst im Rahmen des Vertragsverhältnisses und zur Kundenbetreuung benötigten Daten gespeichert.) keine Schriftform nötig

Benachrichtigung - Ausnahmen wenn der Betroffene bereits Kenntnis hat Geheimhaltungsinteresse zu Gunsten Dritter Gefährdung öffentlicher Sicherheit Beeinträchtigung des Geschäftsinteresses Daten aus allgemeinzugänglichen Quellen oder Listen von Datenhändlern Vorübergehende Dateien (Aufbewahrungsdauer < 3 Monate)

Auskunftsrecht bzgl. Daten, Zweck, Herkunft, Empfänger, Stellen an die regelmäßig übermittelt wird. Unentgeldlich (es sei denn, Weiterverwendung für wirtschaftliche Zwecke) Ausnahmen wie bei Benachrichtigung! (es sei denn, aus öffentlichen Quellen oder Listenmäßige Daten)  hierzu gibt es Auskunft

Rechte der Betroffenen (1) öffentlicher Bereich §20(1) Berichtigung: Ist ein Datum unrichtig ist es zu berichtigen, unabhängig davon, ob es sich in einer Datei oder Akte befindet: bei Akten ist dies zu vermerken oder auf sonstige Art festzuhalten! (dürfen meist nicht verändert werden (Urkundencharakter)!) nicht - öffentlicher Bereich Berichtigung nur bei Dateien !?

Rechte der Betroffenen (2) nicht öffentlicher Bereich § 35 (5) Nichtberichtigung von Daten bei Unrichtigkeit Wenn sie aus allgemein zugänglichen Quellen entnommen und zu Dokumentationszwecken gespeichert sind. (Ausnahmen: sensible Daten) Allerdings muß auf Verlangen des Betroffenen eine Gegendarstellung beigefügt werden, die bei Übermittlungen ebenfalls übermittelt werden muß. (Dokumentation über Zeitzeugen)

Rechte der Betroffenen (3) öffentlicher Bereich § 20 (2) Löschung: 1. wenn die Speicherung unzulässig ist 2. Kenntnis für die Aufgabenerfüllung nicht mehr erforderlich

Rechte der Betroffenen (4) nicht öffentlicher Bereich § 35 (2) Löschung Löschungen sind grundsätzlich jederzeit möglich, es sei denn Fristen stehen dem entgegen. Löschungen sind vorzunehmen, wenn: 1. die Speicherung unzulässig ist 2. von der speichernden Stelle nicht bewiesen werden kann, daß gespeicherte Daten über gesundheitliche Verhältnisse, strafbare Handlungen, Ordnungswidrigkeiten sowie religiöse oder politische Anschauungen richtig sind 3. bei Verarbeitung für eigene Zwecke die Kenntnis des Datums zur Zweckerfüllung nicht mehr nötig ist 4. Daten, die zum Zweck der Übermittlung gespeichert sind, in den letzten 5 Jahren nicht mehr übermittelt wurden und eine weiter Speicherung nicht erforderlich ist.

Rechte der Betroffenen (5) Sperrung anstatt Löschung 1. Wenn einer Löschung Aufbewahrungsfristen (Gesetz, Satzung Vertrag) entgegenstehen 2. Die Löschung schutzwürdige Interessen des Betroffenen beeinträchtigen würde 3. Die Löschung einen zu großen Aufwand bedeuten würde 4. Die Richtigkeit wird vom Betroffenen bestritten und es kann weder die Richtigkeit, noch die Unrichtigkeit bewiesen werden

Rechte der Betroffenen (6) öffentlicher Bereich §20 (7) Benachrichtigung Alle Stellen, die Daten regelmäßig zur Speicherung empfangen, sind von Berichtigungen, Sperrungen wg. bestrittener Richtigkeit, Löschungen oder Sperrungen wg. Unzulässigkeit der Speicherung zu verständigen, wenn dies zur Wahrung schutzwürdiger Belange des Betroffenen erforderlich ist.

Zulässigkeit der Datenverarbeitung im nicht-öffentlichen Bereich (§ 28) Widerspruchsmöglichkeiten: Widerspruchsmöglichkeit bei Nutzung und Übermittlung der Daten zum Zweck der Werbung, Meinungs- und Marktforschung; dann ist die Nutzung und Übermittlung unzulässig (Robinsonliste). Daten sind zu sperren!

Die Adresse der "Robinsonliste": An den Deutschen Direktmarketing-Verband e.V. Schiersteiner Straße 29 Wiesbaden Text: ... ich bitte Sie meinen Namen und meine Anschrift ... in die Robinsonliste aufzunehmen und mir dies zu bestätigen.

Rechte der Betroffenen (7) Allgemeiner Teil §7 Schadensersatzansprüche gegenüber öffentlicher Stellen (max. 250.000,-) Gefährdungshaftung (gilt also auch dann, wenn die Behörde oder ihre Bediensteten keine Schuld trifft) Voraussetzungen: Schaden muß aus einer unzulässigen oder unrichtigen automatisierten Verarbeitung personenbezogener Daten entstanden sein! T/E, Teil II, Kap. 7.2

Rechte der Betroffenen (8) Allgemeiner Teil Schadensersatzansprüche gegenüber nichtöffentlichen Stellen: Es gibt Schutzpflichten nach § 242BGB (Treu und Glauben), deren schuldhafte Verletzung Schadensersatzpflichten bewirkt. Entstehen Schäden durch unerlaubte Handlungen einer speichernden Stelle, so haftet diese nach den Vorschriften des BGB.

Rechte der Betroffenen (9) Allgemeiner Teil §8 Schadensersatz durch nicht-öffentliche Stellen: Zur leichteren Durchsetzung der Schadensersatzansprüche muß der Betroffene nur nachweisen, daß  eine Handlung der speichernden Stelle vorliegt und  ein Schaden eingetreten ist. Die Speichernde Stelle muß nachweisen  daß Handlungen nicht ursächlich für den Schaden war  daß sie kein Verschulden trifft.

Kontrollinstanzen (1) Bundes-/ Landesbeauftragter für den Datenschutz  Er kontrolliert öffentliche Stellen  Er ist von den zu prüfenden Stellen bei der Erfüllung seiner Aufgaben zu unterstützen  Ihm ist Zutritt in alle Diensträume zu gewähren  Ihm sind alle Auskünfte zu gewähren, alle Unterlagen und Akten zur Verfügung zu stellen, Einblick in alle Daten und Programme zu gewähren.

Kontrollinstanzen (2) Verzeichnisse zur Sicherstellung des Datenschutzes:  Bezeichnung und Art der Daten  Zweckbestimmung  Art der gespeicherten Daten  betroffener Personenkreis  Art der regelmäßig zu übermittelnden Daten und deren Empfänger  Regelfristen für die Löschung von Daten  zugriffsberechtigte Personengruppen oder Personen

Kontrollinstanzen (3) des betrieblichen Datenschutzbeauftragten nicht öffentlicher Bereich Bestellung ist vorgeschrieben, wenn mehr als 5 Beschäftigte mit der automatisierten DV bzw. mehr als 20 Beschäftigte auf andere Weise persbez. Daten verarbeiten. 1. Er hat die Ausführung dieses und anderer Gesetze zum Datenschutz sicherzustellen. 2. Dazu hat er die ordnungsgemäße Anwendung der Programme zu überwachen. 3. Die Personen zu schulen, die mit persbez. Daten arbeiten. 4. Bei Einstellungen mitzuwirken (sofern es um Personen geht, die mit persbez. Daten arbeiten sollen).

Überblick zu Spezialgesetzen (1) Als Bürger Gesetze zu staatl. Registern (z.B. Meldegesetze) SGB (Daten nur für gesetzliche Aufgaben nach SGB zu verarbeiten und zu übermitteln [Tinnefeld S. 302f]) Bundesstatistikgesetz (personenbezogene Daten nur zu Organisation von Erhebungen Gesetze zu Sicherheitsbehörden (inkl. Schengener Abkommen) (Beschränkte Auskunft, Datenaustausch) StGB (Verletzung der Vertraulichkeit des Wortes, des Briefgeheimnisses) (Vergl. T/E, Teil I) Kap. 4,5,6)

Spezialgesetze im Überblick (2) als Berufstätiger Betriebsverfassungsgesetz, Bundes- & Landes- personalvertretungsgesetz DeVo - DüVo (Verordnungen) als Teilnehmer im Wirtschaftsgeschehen und in der Ausbildung Abgabenordnung (Steuergeheimnis) Telekommunikationsdienstunternehmen - Datenschutzverordnung Teledienstedatenschutzgesetz Bafög Vergabeverordnung für Studienplätze

Neuerungen durch die EG - Richtlinie (1) Anwendungsbereich  keine Trennung zwischen privatem und öffentlichem Bereich  Ziel der Bestimmungen: "Verantwortlicher für die Verarbeitung" statt "speichernde Stelle"  Der Ort, wo der Verantwortliche ansässig ist, zählt! (nicht der der Verarbeitung) Ausnahme: Niederlassungen  Vermeidung von Datenoasen: es zählt das Recht des Staates, wo auf Daten zugegriffen wird S. #5385

Neuerungen durch EG - Richtlinie (2) Struktur: Keine Unterscheidung zwischen Akten vs. Dateien Datei gilt als strukturelle Sammlung Bestehendes nationales Schutzniveau bleibt erhalten (bzgl. Akten im öffentlichen Bereich) Erhebung ist Bestandteil von Verarbeitung Zulässigkeit: striktere Zweckbindung (weniger Ausnahmen) "Erforderlichkeit für Vertragserfüllung" ist ausschließlich Zulässigkeitskriterium Keine Ausnahmen bei öffentlich zugänglichen Daten ethnische und rassische Daten bewirken eine Einschränkung

Neuerungen durch EG - Richtlinie (3) Informationspflicht generelle Benachrichtigung (immer bei nicht direkter Datenerhebung) Benachrichtigung bzgl. Zweck, Weiterleitung, Empfänger und bzgl. der Rechte  Auftragsbearbeiter gelten auch als Empfänger Information über logischen Aufbau einer Datei Widerspruchsmöglichkeiten bei besonderen Umständen keine automatische Einzelentscheidung mit Rechtsfolgen (z.B. Kreditwürdigkeitsprüfung) Risikoprüfung durch den betrieblichen Datenschutzbeauftragten